Әзірбайжанның энергетика саласына бағытталған кибершабуыл әрекеттері зерттелді

Қытаймен байланысы бар «FamousSparrow» атты APT (Advanced Persistent Threat) тобының Әзірбайжанның мұнай-газ секторында жұмыс істейтін компаниялардың біріне қарсы көп сатылы кибершабуыл жасағаны алға тартылды. Әзірбайжан Республикасының Арнайы Байланыс және Ақпараттық Қауіпсіздік Мемлекеттік қызметінің Компьютерлік инциденттерге әрекет ету орталығы (Мемлекеттік CERT) алған ақпарат негізінде аталған киберқауіп әрекеттері бойынша индикаторлық қауіптерді барлау және техникалық тергеулер жүргізілді Бұл туралы Әзірбайжан Республикасы Арнайы байланыс және ақпарат қауіпсіздігі мемлекеттік қызметінің компьютерлік инциденттермен күресу орталығының ақпаратында айтылған, деп хабарлайды 525.az Ақпаратта шабуылдаушылар «Microsoft Exchange Server» платформасында бар «ProxyShell» және «ProxyNotShell» осалдықтарын пайдалану арқылы бастапқы қол жеткізуге қол жеткізгені, содан кейін жүйеге «веб қабықшасын» орналастыру арқылы үздіксіз қол жеткізу мүмкіндіктерін қалыптастырғаны, ал кейінгі кезеңдерде DLL бүйірлік жүктеу техникасы арқылы Deed RAT және TernDoor зиянды бағдарламаларын пайдаланғаны айтылған Дегенмен, егжей-тегжейлі талдау кезінде «AzStateNet» сегментінде «FamousSparrow» белсенділігінің ізі табылмады. Осылайша, файл хэштері, домендері, URL мекенжайлары және шабуыл векторымен байланысты компромисстің басқа көрсеткіштері бойынша қауіпсіздік тексерулері жүргізілді, хэш мәндері арқылы ықтимал компромисс белгілері бағаланды. Домен көрсеткіштеріне қатысты «AzStateNet» желісінде тиісті сұраулар жасалды. Қабылданған шаралардың нәтижесінде шабуыл әрекетіне байланысты техникалық көрсеткіштер бойынша алдын алу блоктау шаралары жүзеге асырылды және тиісті қауіпсіздік жүйелеріне тиісті шектеулер қолданылды Мемлекеттік мекемелерге (органдарға) күдікті «шығыс» байланыстарды және аномальды әрекеттерді тексеру, ымыраға келу белгілері анықталған жағдайда тиісті органдарға жедел ақпарат беру, сондай-ақ «sentinelonepro[.]com:443» және вирус блокаторы[.]it[.]com:443 домендері бойынша тексерулер жүргізу, бір уақытта IOC мекемелеріне сәйкес ағымдағы ретро мониторинг жүргізу. индикаторлар, мемлекеттік электрондық пошта қызметі, SIEM, EDR/XDR, брандмауэр, прокси және DNS журналдарында индикаторға негізделген тексерулерді орындау және Microsoft Exchange инфрақұрылымы мен аутентификация журналдарын одан әрі талдау ұсынылады Орталық маңызды ақпараттық инфрақұрылымдарды киберқауіптерден қорғау, ықтимал шабуыл әрекеттерін уақтылы анықтау және қауіпсіздіктің алдын алу шараларын жүзеге асыру бағытында мониторинг және қауіптерді барлау бойынша іс-шараларды жалғастыруда